Yayım tarihi (Erdal Ek)

Alcatel-Lucent Switchlerde Erişim Kısıtlaması Nasıl Yapılır

Genellikle Cisco cihazlar kurulurken cihazlara telnet, ssh veya snmp üzerinden erişimler ACL’ler oluşturularak kontrol edilebilmektedir. Alcatel-Lucent switchler için bu tarz bir ihtiyaç gündeme geldiğinde genelde böyle bir özelliğin olmadığından dem vurulur.

Oysa ki Alcatel-Lucent Switchlerde erişim kısıtlaması  QoS politikaları oluşturularak sağlanabilmektedir.

Erişim kısıtlamasının nasıl yapıldığını anlayabilmek için öncelikle Cisco üzerinde erişim kısıtlamasının nasıl yapıldığından, sonrasında ise bunun karşılığı olarak Alcatel-Lucent üzerinde yapılan ayarlardan bahsedeceğiz.

Cisco Konfigürasyonu

Telnet ve SSH Erişim Kısıtlaması

Cisco üzerinde telnet ve ssh kısıtlaması için aşağıdaki adımlar uygulanır

Önce cihaza erişmesini istediğimiz source IP’ler için bir ACL tanımlanır (192.168.1.11 ve 12 IP’leri cihaza erişecek IP’ler olsun)

ip access-list extended MGMT-ACL
  permit ip host 192.168.1.11 any
  permit ip host 192.168.1.12 any
  deny ip any any
  • Daha sonra line vty altında bu ACL uygulanır
    line vty 0 4
 access-class MGMT-ACL in
line vty 5 15
  access-class MGMT-ACL in

    SNMP Erişim Kısıtlaması

Önce cihaza erişmesini istediğimiz source IP’ler için bir ACL tanımlanır (192.168.1.21 ve 22 cihaza erişecek IP’ler olsun)

 

ip access-list extended SNMP-ACL
 permit ip host 192.168.1.21 any
 permit ip host 192.168.1.22 any
 deny ip any any

 

Daha sonra oluşturduğumuz ACL, SNMP community arkasına eklenir (aşağıdaki örnekte readonly community ismi ReadOnly olarak, read-write community ismi ise ReadWrite olarak varsayılmıştır).

snmp-server community ReadOnly RO SNMP-ACL

snmp-server community ReadWrite RW SNMP-ACL

 

Eğer read-only ve read-write snmp erişimi farklı IP’lere izin vereceksek iki farklı ACL oluşturup bunları uygulayabiliriz. Örneğin

ip access-list extended SNMP-RO-ACL
permit ip host 192.168.10.21 any
deny ip any any

ip access-list extended SNMP-RW-ACL
permit ip host 192.168.10.22 any
deny ip any any

snmp-server community ReadOnly RO SNMP-RO-ACL
snmp-server community ReadWrite RW SNMP-RW-ACL

 

Alcatel-Lucent Konfigürasyonu

ALE konfgürasyonunda erişim kısıtlaması QoS policy’ler kullanılarak yapılmaktadır. Switch IP’lerine erişimler source IP ve erişilecek servis portuna bağlı olarak kısıtlanabilmektedir.

SNMP erişimlerinde snmp-ro ve snmp-rw için ayrı erişim tanımları yapılamamaktadır, komple snmp erişimi için tanım mümkündür. RO ve RW ayrımını community ismi ile yapmak veya daha da güvenlisi SNMPv3 kullanarak user bazlı ayrım yapmak mümkündür.

Telnet, SSH, Web ve FTP Erişim Kısıtlaması

Öncelikle ilgili servisler tanımlanır;

-> policy service ftp destination tcp-port 20-21
-> policy service http destination tcp-port 80
-> policy service https destination tcp-port 443
-> policy service ssh destination tcp-port 22
-> policy service telnet destination tcp-port 23

Tanımlanan servisler bir grup altında toplanır

-> policy service group mgmt-sg ftp http https ssh telnet

Switch’e erişecek IP’ler bir network grubu altında tanımlanır;

-> policy network group mgmt-ng 192.168.1.11
-> policy network group mgmt-ng 192.168.1.12

Erişim koşulu (condition) tanımlanır

-> policy condition mgmt-c1 source network group mgmt-ng destination network group Switch service group mgmt-sg 
-> policy condition mgmt-c2 source ip Any destination network group Switch service group mgmt-sg

 network group olarak mgmt-ng daha önceden erişecek IP’lerimiz için tanımlamıştık. Switch isimli network grup ise default olarak switch IP’lerini ifade eden network gruptur. Bu grup ismi kullanıldığında otomatik olarak switch üzerindeki tanımlı tüm lokal IP adresleri kapsanmaktadır.

Yukardaki birinci condition ile erişim izni verilecek, ikinci condition ile ise bunun dışında kalan IP’ler için erişim kısıtlaması yapılacaktır.

Aksiyon (action) tanımı yapılır.

Genellikle accept ve deny isimli iki tanım yaparak bu tanımları farklı kurallarda kullanabiliriz.

-> policy action accept
-> policy action deny disposition deny

Policy Kuralı (policy rule) oluşturulur. Bu son aşamadır, daha önceden oluşturduğumuz condition ve action bilgilerine dayalı olarak bir policy rule oluşturuyoruz.

-> policy rule mgmt-r1 condition mgmt-c1 action accept
-> policy rule mgmt-r2 condition mgmt-c2 action deny

Görüldüğü gibi policy rule mgmt-r1’de daha önceden tanımladığımız condition olan mgmt-c1 şartını ve accept aksiyonunu, mgmt-r2’de ise daha önceden tanımladığımız mgmt-c2 şartını ve deny aksiyonunu kullanıyoruz. Özet olarak birinci kuralımızda belirlediğimiz IP’lere erişim izni verirken ikinci kuralda da kalanlar için erişimi yasaklıyoruz.

Policy rule yazılış sırası çok önemlidir, dolayısı ile önce izin vereceğimiz kuralın, daha sonra da engelleyeceğimiz kuralın eklenmesi gereklidir, yoksa bağlantımızı kesebiliriz. Numara veya harf sırası değil, komutu ekleyiş sırası önemlidir

QoS politikası uygulanır. Son adım olan uygulama işlemini gerçekleştirmediğiniz sürece yazdığımız QoS politikaları çalışmayacak ve konfigürasyonda gözükmeyecektir.

-> qos apply

 

Sonuç olarak ortaya çıkan konfigürasyon şu şekildedir;

policy service ftp destination tcp-port 20-21
policy service http destination tcp-port 80
policy service https destination tcp-port 443
policy service ssh destination tcp-port 22
policy service telnet destination tcp-port 23
policy service group mgmt-sg ftp http https ssh telnet 
policy network group mgmt-ng 192.168.1.11 192.168.1.12 
policy condition mgmt-c1 source network group mgmt-ng destination network group Switch service group mgmt-sg
policy condition mgmt-c2 source ip Any destination network group Switch service group mgmt-sg
policy action accept
policy action deny disposition deny
policy rule mgmt-r1 condition mgmt-c1 action accept
policy rule mgmt-r2 condition mgmt-c2 action deny
qos apply

SNMP Erişim Kısıtlaması

SNMP erişim kısıtlaması da aynı yukarıdaki tanımlardaki gibi yapılmaktadır. Aynı tanımı içerisine snmp servisi de eklenerek kısıtlamaya dahil edilebilir, tekrar ayrı bir tanım yapmaya gerek yoktur.

SNMP erişimi sağlayacak istasyon farklı bir IP ise ve SNMP kuralını bağımsız olarak görmek istersek, tanımımız şu şekilde olacaktır (aşağıdaki örnekte cihaza SNMP ile erişecek IP adresleri 192.168.1.21 ve 22 olarak tanımlanmıştır).

policy service snmp-tcp destination tcp-port 161
policy service snmp-udp destination udp-port 161
policy service group snmp-sg snmp-tcp snmp-udp 
policy network group snmp-ng 192.168.1.21 192.168.1.22 
policy condition snmp-c1 source network group snmp-ng destination network group Switch service group snmp-sg
policy condition snmp-c2 source ip Any destination network group Switch service group snmp-sg
policy action accept
policy action deny disposition deny
policy rule snmp-r1 condition snmp-c1 action accept
policy rule snmp-r2 condition snmp-c2 action deny
qos apply

Ekleme Çıkarma

Yeni Servis Ekleme, Mevcut Servisi Çıkarma

Mevcut tanımlı olan servis grubuna yeni bir servis eklemek için;

Önce yeni servisi tanımlıyoruz

-> policy service ntp destination udp-port 123

Daha sonra servis grubumuza bu servisi ekliyoruz.

-> policy service group mgmt-sg ntp

QoS’i uyguluyoruz

-> qos apply

Mevcut tanımlı olan servis grubundan bir servisi çıkarmak için;

Önce servisimizi servis grubundan çıkartıyoruz, sonra QoS’i uyguluyoruz

-> policy service group mgmt-sg no ntp
-> qos apply

Policy Rule’u kaldırmak için

Önce rule’u kaldırıp sonra qos uyguluyoruz.

-> no policy rule mgmt-r2
-> qos apply

 Yeni IP Ekleme, Mevcut IP’yi Çıkarma

Mevcut tanımlı olan network grubuna yeni bir IP eklemek için;

Önce tanımlı network grubuna yeni IP’yi ekliyoruz, sonra qos’i uyguluyoruz.

-> policy network group mgmt-ng 192.168.1.13
-> qos apply

Mevcut tanımlı olan IP’yi network grubundan çıkarmak için

Önce IP adresini network grubundan çıkartıyoruz, sonra QoS’i uyguluyoruz

-> policy network group mgmt-ng no 192.168.1.13
-> qos apply

Policy Rule’u kaldırmak için

Önce rule’u kaldırıp sonra qos uyguluyoruz.

-> no policy rule mgmt-r2
-> qos apply

Show Komutları

Konfigürasyon içinde yapılan policy ayarlarını görme;

-> show configuration snapshot qos

! QOS:
policy service ftp destination tcp-port 20-21
policy service http destination tcp-port 80
policy service https destination tcp-port 443
policy service snmp-tcp destination tcp-port 161
policy service snmp-udp destination udp-port 161
policy service ssh destination tcp-port 22
policy service telnet destination tcp-port 23
policy service group mgmt-sg ftp http https snmp-tcp snmp-udp 
policy service group mgmt-sg ssh telnet 
policy network group mgmt-ng 192.168.1.11 192.168.1.12 
policy condition mgmt-c1 source network group mgmt-ng destination network group Switch service group mgmt-sg
policy condition mgmt-c2 source ip Any destination network group Switch service group mgmt-sg
policy action accept
policy action deny disposition deny
policy rule mgmt-r1 condition mgmt-c1 action accept
policy rule mgmt-r2 condition mgmt-c2 action deny
qos apply

Tanımlanan servislerin görülmesi

-> show policy service       

Service name                     : ftp
  Destination TCP port           = 20-21

Service name                     : http
  Destination TCP port           = 80

Service name                     : https
  Destination TCP port           = 443

Service name                     : snmp-tcp
  Destination TCP port           = 161

Service name                     : snmp-udp
  Destination UDP port           = 161

Service name                     : ssh
  Destination TCP port           = 22

Service name                     : telnet
  Destination TCP port           = 23

Tanımlanan servis gruplarının görülmesi

-> show policy service group 

Group Name                       : mgmt-sg
  Entries                        = ftp,
                                   http,
                                   https,
                                   snmp-tcp,
                                   snmp-udp,
                                   ssh,
                                   telnet

Tanımlanan network grupların (tanımlı IP’ler) görülmesi

-> show policy network group 

 Group Name                       : Switch
  Entries                        = 10.0.0.30,
                                   10.10.30.1,
                                   10.10.200.2,
                                   192.168.12.16

Group Name                       : SwitchDirectedBcast
  Entries                        = 10.0.0.30,
                                   10.10.30.255,
                                   10.10.200.255,
                                   192.168.12.255

Group Name                       : mgmt-ng
  Entries                        = 192.168.1.11
                                192.168.1.12

Policy Aksiyonlarının Görülmesi

-> show policy action  

Action name                      : accept

Action name                      : deny
  Disposition                    = deny

 

Policy Condition’larının Görülmesi

-> show policy condition 

Condition name                   : mgmt-c1
  Source network group           = mgmt-ng,
  Destination network group      = Switch,
  Service Group                  = mgmt-sg

Condition name                   : mgmt-c2
  Source IP                      = Any,
  Destination network group      = Switch,
  Service Group                  = mgmt-sg

 

 Policy Rule’ların Görülmesi

-> show policy rule

Rule name                        : mgmt-r1
  Condition name                 = mgmt-c1,
  Action name                    = accept

Rule name                        : mgmt-r2
  Condition name                 = mgmt-c2,
  Action name                    = deny

 

 

Bir Cevap Yazın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.